情報セキュリティ事象についての法令・ガイドラインに基づく報告義務と中小企業のセキュリティリスク
- 投稿日:2025-09-03
- カテゴリ:セキュリティ対策
今回は、情報セキュリティ事象に関連して、法令やガイドラインで定められた報告義務と、最新の統計データ、そして経営者がぜひ押さえておきたいリスクをわかりやすく解説します。
前回の記事とは内容が重複しないように工夫しました。
目次
1. 法令・ガイドラインに基づく報告義務
2022年4月に施行された改正個人情報保護法では、不正アクセスによる個人情報漏洩が発生した場合、一定の条件を満たす時には「本人」や「監督官庁」への報告が義務付けられています。
また、中小企業向けのIPA「情報セキュリティ対策ガイドライン」では、経営者がリスクを認識し、セキュリティインシデント発生時の対応体制を整備することが強調されています。
ガイドラインには、対応フローやテンプレートなどの具体的な手引きも含まれています。
さらに、契約上(機密保持契約・委託契約など)で、取引先への報告義務が課される場合もあります。
サプライチェーンにおけるセキュリティリスクが高まる中、こうした契約義務の管理も重要です。
2. 実際の統計データ(IPA調査など)
IPAによる「2024年度 中小企業における情報セキュリティ対策の実態調査」では、過去3期内にサイバーインシデントが発生した企業の平均被害額は73万円、うち9.4%は100万円以上の被害となっています。
また、復旧に要した平均期間は5.8日、2.1%は50日を超えました。
不正アクセス被害を受けた企業の約48%が「脆弱性を突かれた」、36.8%が「ID・パスワードをだまし取られた」と回答しました。
さらに、約20%が「取引先経由での侵入」としており、サプライチェーン経由の攻撃リスクが顕在化しています。
2025年第2四半期(4~6月)、IPAの「サイバーセキュリティ相談窓口」には企業組織からの相談が244件寄せられ、うちインシデント対応に関連するものは55件でした。
内容としては、マルウェア感染(12件)、不正アクセス(11件)、ランサムウェア感染(7件)、なりすましメール(6件)など、多岐に渡ります。
3. 経営者が知っておくべきセキュリティリスク
-
サプライチェーンリスク:自社のセキュリティ対策が不十分だと、取引先を通じた攻撃の踏み台になり得ます。
実際、被害企業の約7割が「取引先事業に影響を与えた」と回答しています。
-
脆弱性の未対応:脆弱性による侵入が約半数を占めており、OSやソフトウェアの更新を怠ると重大なリスクに直結します。
-
人的リスク(不正ログイン・フィッシング):ID・パスワードの窃盗や、なりすましメール経由での攻撃も多発。
従業員のセキュリティリテラシー向上の必要性が高まります。
-
相談・対応体制の未整備:インシデント相談件数が示すように、相談窓口を活用した支援や、社内対応の仕組みづくりが不可欠です。
-
法令・契約違反による信用失墜リスク:法令や契約で報告義務があるにもかかわらず対応が遅れると、罰則だけでなく取引先や顧客からの信頼を失います。
4. 経営者・マネージャーへのアドバイス
-
法令と契約義務の整理:個人情報保護法や契約条項に基づく「報告義務」を経営者自ら把握し、報告フローに反映しましょう。
-
脆弱性管理の徹底:定期的なパッチ適用、侵入検知体制の構築、リスクの見える化を推進してください。
-
教育と訓練:従業員にはフィッシング対策やID管理の重要性を定期的に教育し、小さな事象でも報告する文化を育てます。
-
相談窓口の活用:IPAなど外部相談窓口を活用し、迅速な対応支援と体制強化を図りましょう。
-
サプライチェーンへの波及対策:取引先とのセキュリティ協定や共通基準を設けることで、相互に安全な連携を目指しましょう。
参考リンク・出典
- IPA 「中小企業の情報セキュリティ対策ガイドライン」
https://www.ipa.go.jp/security/guide/sme/about.html/?amp=1 - IPA 「2024年度中小企業等実態調査」
https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html/?amp=1 - IPA 「サイバーセキュリティ相談窓口 2025年第2四半期相談状況」
https://www.ipa.go.jp/security/support/reports/2025q2outline.html/?amp=1 - 改正個人情報保護法による報告義務
| 広告枠・・・広告やリンク先の保証はしません | |
|---|---|